惡意的內部人員和外部網絡犯罪分子越來越狡猾。他們能更好地融入，而不會觸發任何警告。他們跳過了觸發標準安全系統的工具和技術。那么除了當天合法登錄到網絡所產生的噪音之外，一家公司怎么能告訴他們呢?

答案就在于環境。監控和記錄整個網絡中的活動是不夠的，各組織需要能夠組合多種數據來源來發現在工作中隱形攻擊者的微妙跡象。

[[275209]]

逃避機動

高級攻擊者可以使用各種策略和工具來對抗既定的安全措施。攻擊者通常也會通過HTTPS和DNS路由他們的通信，這使得隱藏起來非常容易。普通用戶每天最多可以生成2萬個DNS查詢，這就產生了令人難以置信的大量數據需要進行分析，以便有機會檢測到某些內容，特別是如果通信本身沒有明顯的惡意內容。

如果沒有任何上下文來豐富這些數據，分析師將花費太長時間瀏覽日志來確定警報是真正的威脅還是虛警。

此外，諸如在工作時間登錄有效設備，專注于郵箱中的數據和每次只提取少量數據等活動都不會給人留下什么印象。創建具有更多權限的影子帳戶并根據需要授予和刪除權限，這也有助于他們保持低調。

如何捕獲規避威脅的行動者?

即使是最熟練和最細致的入侵者也無法完全掩蓋他們在網絡中的存在。在檢測它們時，最重要的因素是對組織的人員，過程和技術有一個全面的了解。

檢測隱藏威脅參與者的關鍵行動包括：

• 識別敏感數據和文件訪問：第一步是定義敏感數據的位置，優先考慮個人身份信息(PII)和受監管要求約束的其他數據，以及“所有者”及其可以訪問的帳戶。應該存檔不再主動使用的任何數據，以減少任何不必要的威脅載體。
• 管理用戶權限：應該清楚地查看系統上的所有帳戶，包括普通用戶以及服務和特權帳戶，以及他們擁有的權限和訪問權限。監控權限更改可以成為發現可疑行為的寶貴信息的金礦。應使用最小權限方法來確保所有用戶只能訪問對其工作角色至關重要的文件：應根據“需要知道”確定信息訪問權限。
• 啟動高價值用戶分析：將用戶活動與特定設備相關聯將有助于檢測入侵者登錄到不同機器但不做任何明顯惡意攻擊的微妙跡象。了解公共設備和個人設備的使用方式之間的差異也有助于減少噪音和誤報。

相關性是關鍵

最重要的一步是將所有這些數據關聯起來。如果單獨查看數據集，那么回避入侵者的跡象通常會過于微妙，而且許多可疑行為模式只有統一的觀點才會明顯。考慮到在任何一天流過組織的大量數據，這只能通過機器學習驅動的自動化方法來實現。

通過徹底了解正常行為的外觀以及對網絡上所有活動的統一視圖，組織將能夠進行高價值關聯，以識別一些最難以捉摸的惡意活動跡象。例如，訪問VPN然后登錄其他員工設備的用戶將不會觸發標準安全系統。但是這種行為對于合法用戶來說是非常不尋常的，并且是一個明顯的跡象表明某人的憑據已經被破壞。

利用足夠的數據，組織可以超越個人用戶并將同伴關系構建到他們的行為分析中。這將允許他們快速發現與同行相比顯示異常文件活動的用戶，從而顯著減少事件響應時間。一旦組織能夠可靠地檢測到這些跡象，即使是最躲避的攻擊者也只有很少的地方可以隱藏在網絡中。